Schlagwort-Archiv: zarafa

Zarafa WebApp Benutzer mittels LDAP begrenzen (ohne Code Modifikation)

Als ich im Februar diesen Jahres den Artikel Z-Push Benutzer mittels LDAP begrenzen (ohne Code Modifikation) veröffentlich habe, wurde ich gefragt ob ein ähnliches vorgehen auch für die Zarafa WebApp funktioniert. Nachdem sich die Mechanismus nicht eins zu eins übernehmen ließ (mittels der vorgeschalteten Authentifizierung wird der Benutzer nicht direkt in der WebApp angemeldet, sondern muss sich noch ein weiteres mal Einloggen), habe ich dies aber leider vorerst verneinen müssen. Zarafa WebApp Benutzer mittels LDAP begrenzen (ohne Code Modifikation) weiterlesen

Z-Push Benutzer mittels LDAP begrenzen (ohne Code Modifikation)

UPDATE: seit Z-Push 2.2 ist dieser Workaround nicht mehr notwendig, da Z-Push standardmäßig das Flag „mobile“ prüfen kann (standardmäßig aktiv, kann pro Nutzer deaktiviert werden).

Mit Zarafa 7.1 wurde das LDAP Attribut  „zarafaenabledfeatures“ eingeführt, welches mit wenigen Handgriffen ebenfalls zur Steuerung von Z-Push Accounts genutzt werden kann. Der Vorteil an dem im folgenden aufgezeigten Weg liegt darin, dass hierfür keine Modifikationen am Z-Push Code vorgenommen werden müssen und somit zukünftige Updates erleichtert werden.

„zarafaenabledfeatures“ ist ein Freitextfeld welches einen beliebigen String (wie eben „imap“ oder „pop3“) aufnehmen kann. Dies erlaubt ohne großen Aufwand weitere Filtermerkmale wie z.B. „z-push“ zu definieren und bei entsprechenden Nutzern zu hinterlegen.

Sobald dieser Wert für alle gewünschten Nutzer hinterlegt ist, können wir mit der Modifikation der Apache Konfiguration fortfahren.

Bei direktem Aufruf von http://server/Microsoft-Server-ActiveSync werden wir von einem Apache Authentifizierungsdialog begrüßt, welcher über den Z-Push Code getriggert wird. Diesen Umstand können wir zu unserem Vorteil nutzen, indem wir – bereits bevor der Dialog durch Z-Push getriggert wird – im Apache eine Authentifizierung durchführen lassen. Dies funktioniert da eine einmal durchgeführte Anmeldung in der Session gespeichert wird und an die dahinter liegende Applikation „durchgereicht“ wird (funktioniert z.B. auch mit ownCloud).

Um den Apache Webserver einen LDAP Baum zur Authentifizierung nutzen zu lassen sind dann nur noch die folgenden zwei Änderungen nötig:

  1. mod_authnz_ldap aktivieren, dies geht z.B. mittels „a2enmod authnz_ldap“
  2. den folgenden Code Block innerhalb der Directory Sektion im Z-Push vHost einfügen (und natürlich an die eigene Umgebung anpassen):

Der Entscheidende Punkt dieser Ergänzung liegt in AuthLDAPURL. Diese  definiert:

  • wo das LDAP läuft
  • wie die Basis DN lautet
  • wie das Login Attribut heißt
  • und welcher Filter angewendet werden soll.

Das Apache Handbuch definiert die Syntax wie folgt: ldap://host:port/basedn?attribute?scope?filter. Die oben genannte Beispielsyntax nutzt also das Attribut uid als Benutzername und sollte dieser Benutzer die Objectklasse zarafa-user und das Attribut zarafaEnabledFeatures mit dem Wert z-push ist die Anmeldung erfolgreich. In allen anderen Fällen wird die Anmeldung abgeleht.

Blog Quickie: Zarafa CalDAV Gateway über Port 443

Falls man das Zarafa CalDAV Gateway (per SSL) aus dem Internet erreichen will, hierfür aber keinen weiteren Port in der Firewall öffnen will, so hilft folgende Erweiterung der Apache Konfiguration:

Dieser Teil kann einfach z.B. ans Ende der ensprechenden VirtualHost Definition kopiert werden. Da die Zarafa CalDAV Implementierung glücklicherweise alle URLs mit „/caldav“ fixiert – eine gültige Adresse wäre z.B. http://server:8080/caldav/<user>/<calendar-name> – sind auch keine weiteren Umschreibungen per mod_rewrite nötig.

Nun kann der Kalender einfach über https://server/caldav/<user>/<calendar-name> abgefragt werden.

Howto: E-Mail-Migration zwischen Dovecot und Zarafa… Automatische Angleichung der Ordnernamen

Im ersten Teil meines Artikels zur Migration zwischen Dovecot und Zarafa war ich noch ein funktionierendes Code Snippet für die automatische Angleichung von Ordnernamen (Name Translation) schuldig geblieben). Die Lösung dieses Problems kam in der letzten Woche in Form eines Kommentars von Jens. Howto: E-Mail-Migration zwischen Dovecot und Zarafa… Automatische Angleichung der Ordnernamen weiterlesen

Howto: E-Mail-Migration zwischen Dovecot und Zarafa mittels Offlineimap und Master Benutzern

Dieses Howto soll einen möglichen Weg aufzeigen, wie man E-Mail zwischen einem Dovecot IMAP Server und dem Zarafa IMAP Gateway migrieren kann, ohne die Passwörter der zu migrierenden Benutzer zu kennen. Hierbei wird unter anderem die Funktion der Master Benutzer von Dovecot genutzt, da diese schon ausreichend im Netz dokumentiert ist, werde ich hier nicht weiter drauf eingehen.

Das Gegenstück zum Master Benutzer ist bei Zarafa der „local_admin_user“. Dieser bietet die Möglichkeit auf jedes gewünschte Passwort ohne weitere Überprüfung des Passwortes zuzugreifen. Howto: E-Mail-Migration zwischen Dovecot und Zarafa mittels Offlineimap und Master Benutzern weiterlesen